Hvad er WireGuard VPN-protokol?

WireGuard er en næste generations open source sikker tunneling VPN-protokol udviklet af Jason Donenfeld. Det er en Layer 3 sikker netværkstunnel til IPv4 og IPv6, der bruger "konservative moderne kryptografiske protokoller". Det er UDP-baseret og har indbygget stealth, som giver det mulighed for at slå gennem firewalls. Godkendelsesmodellen til WireGuard er baseret på SSHs godkendte nøgler.


Sammenlignet med etablerede VPN-tunnelingprotokoller som IPSec og OpenVPN, er WireGuard lille. Med en vejning på kun 3782 kodelinjer (sammenlignet med 329.853 for OpenVPN) gør WireGuards økonomiske størrelse det meget lettere at revidere. Dette betyder, at det er meget billigere at kontrollere platformens sikkerhed og kan udføres på en eftermiddag af kun en person.

WireGuard er designet til at være en generel VPN til at køre på indlejrede grænseflader. Selvom WireGuard oprindeligt blev designet til Linux-kernen, er det nu implementeret til Android, MacOS og Windows. Faktisk bliver WireGuard rost som en mobil VPN-applikation - fordi dens stealth-funktioner betyder, at den aldrig overfører pakker, medmindre der er faktiske data, der skal sendes. Resultatet er, at WireGuard, i modsætning til andre VPN-protokoller, der er strømhungerende, ikke konstant tømmer batteriet.

Wireguard 2

Hvad er anderledes ved WireGuard?

WireGuards udvikler Jason Donenfeld er grundlæggeren af ​​Edge Security. Han skar tænderne i sikkerhedsbranchen og arbejdede i offensive og defensive applikationer. Han udviklede rutekiteksfiltreringsmetoder, der gjorde det muligt for ham at forblive i et netværk uden at blive opdaget.

”Når du er i et netværk, der udfører en rød teamvurdering og penetrationstest, vil du være i stand til at opretholde en vedholdenhed i netværket i hele opdragets varighed. Du vil være i stand til at udfiltrere data på en stealthy måde - så du kan undgå detektering - og få dataene ud på en sikker og uopdaget måde. ”

Donenfeld siger, at han i løbet af sit sikkerhedsarbejde blev opmærksom på, at hans metoder også kunne implementeres til sikker kommunikation:

”Jeg indså, at en masse af de samme teknikker, som jeg havde brug for til sikker udfiltrering, faktisk er perfekte til en defensiv VPN. Så WireGuard har en masse af disse dejlige stealth-funktioner, der er indbygget, hvor du ikke kan scanne efter det på internettet, det kan ikke påvises, medmindre du ved, hvor det er. Det svarer ikke på ikke-godkendte pakker. ”

Resultatet er ifølge Donenfeld en VPN-tunnel, der er mere troværdig end sine forgængere, og som er baseret på ny kode i modsætning til hvad han betegner som "daterede teknologier fra 1990'erne".

Meget lille Wireguard

Hvorfor er Wireguard så lille?

Et af Donenfelds vigtigste mål i udviklingen af ​​WireGuard var at holde koden enkel. Ifølge Donenfeld var dette inspireret af hans generelle manglende tillid til den massive størrelse af eksisterende VPN-protokoller. Når han talte om OpenVPN og IPsec, forklarede Donenfeld:

”Selv efter så mange vurderinger og teams, der har revideret disse codebases, finder folk stadig fejl, fordi de bare er for store og komplekse.”

Donenfeld siger, at hans ønske om at holde WireGuard minimal og enkel førte til udviklingen af ​​protokolkryptografi, der har en "lille implementering" med mindre mulige udnyttelsesmuligheder og sårbarheder:

”For eksempel er alle felter i protokollen fast længde, så vi behøver ikke at have nogen parsere. Og hvis der ikke er nogen parsers, er der ingen parser-fejl. ”

For at tale om selve kryptografien implementerer WireGuard (og WireGuard-klienter som TunSafe) påviste moderne primitiver som Curve25519 (til elliptisk kurve Diffie Hellman), ChaCha20 (til hasning), Poly1305 og BLAKE2 (til godkendt kryptering) og SipHash2-4 (til hash-tabellerne). Donenfeld siger det "det er vigtigt, at der ikke er nogen ciffer agility". Dette er en vigtig del af protokollen, der gør den mere sikker end dens forgængere.

"Hvis chifferet er ødelagt, opgraderer du, og du tillader ikke ødelagte ciffer på dit netværk. I øjeblikket er disse [primitiver] de bedste, men hvis de bliver forældede på ethvert tidspunkt, vil vi ændre dem."

En anden spændende ting ved Wireguard er, at det øger kapaciteten med op til seks gange, sammenlignet med OpenVPN. I teorien betyder det, at det er meget bedre for datakrævende opgaver såsom spil eller streaming i HD.

Store planer

Store planer for WireGuard på Linux

I øjeblikket er WireGuard et ude af træ-modul til Linux-kernen - så når du køber en Linux-distribution, kommer det ikke forhåndsindlæst som XFS eller andre drivere. Dette betyder, at hvis du vil bruge WireGuard, er du nødt til at spore kilden og samle den selv - eller finde en pålidelig kilde, der allerede har kompileret den til din Linux-kerneversion.

Donenfeld ønsker, at det skal ændre sig. WireGuards udvikler ønsker, at Linux tilføjer koden til kernen som standard, så alle Linux-distros leveres med den. Hvis det forslag, som Donenfeld forelagde sidste tirsdag, er vellykket, vil et sæt patches blive føjet til Linux-kernen for at integrere den sikre VPN-tunnelingskode som en officiel netværksdriver.

Spørgsmål

Kan du forvente at se WireGuard implementeret i en kommerciel VPN-klient når som helst snart??

For tiden er WireGuard stadig ikke bevist. Selvom det har været genstand for en formel verifikation af dens kryptografiske implementering, betragtes den endnu ikke som sikker. Dette betyder, at det har en vej at gå, før det vil udfordre OpenVPN.

Selv WireGuards udviklere indrømmer, at:

“WireGuard er endnu ikke færdig. Du skal ikke stole på denne kode. Det har ikke gennemgået ordentlige grader af sikkerhedsrevision, og protokollen kan stadig ændres. Vi arbejder hen imod en stabil 1.0-udgivelse, men den tid er endnu ikke kommet. ”

Derudover er WireGuards ikke-håndtering af nøgleudveksling et problem for kommercielle VPN'er, som har brug for deres API for at kunne håndtere delingsnøgler mellem flere servere placeret over hele kloden på en sikker og effektiv måde.

Trods dette er samtalen om at tilføje WireGuard til Linux-kerneprojektet spændende og viser, at der er store forhåbninger for denne nye VPN-protokol. Foreløbigt forbliver det sandsynligvis på kanten - bruges kun af mennesker, der ønsker den ekstra sikkerhed, der er involveret i oprettelsen af ​​deres egen VPN-knude.

Emanuel Morgan, CIO hos NordVPN, siger, at han finder WireGuard meget interessant, men fortalte ProPrivacy.com, at kommercielle VPN-udbydere bliver nødt til at ”vente til det er modnet nok”, før de overvejer at implementere det:

”I øjeblikket mangler for mange dele til at implementere det i skala, og der er ingen standard måde at distribuere nøgler på. Uden nøgledistribution er WireGuard mindre ønskelig som en kommerciel VPN-applikation.

"Brugere skal være sikre på, at de opretter forbindelse til en legitim VPN-server, og OpenVPNs servercertifikater løser dette problem på en enkel, sikker og effektiv måde. ”

Billedkreditter: New Design Illustrations / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me